MAS Public Cloud Guidelines: A Deep Dive into its Impact on Cloud Security – Fintech Singapore

Midt i en hastigt digitaliserende verden, accelereret yderligere af COVID-19-pandemien, er cloud-teknologi blevet en afgørende hjørnesten for virksomheder verden over. For nylig introducerede Monetary Authority of Singapore (MAS) et cirkulære med offentlige cloud-retningslinjer vedrørende de cyberrisici, der er forbundet med dets vedtagelse, hvilket påvirker både den finansielle og teknologiske sektor. 

Udviklingen af ​​cloud-teknologi har omformet den måde, tidligere landfaste virksomheder opererer på. Behovet for forbedret cloud-sikkerhed, især inden for den stramt regulerede fintech-industri, som kan have vidtrækkende konsekvenser, har aldrig været større. 

Det seneste webinar med titlen 'Hvordan de nye MAS Public Cloud-retningslinjer påvirker dig', modereret af cybersikkerhedsspecialist Horangis administrerende direktør, Paul Hadjy, samlede brancheeksperter for at kaste lys over de opdaterede retningslinjer fastsat af Monetary Authority of Singapore (MAS). 

Paneldeltagerne omfattede Anand Nirgudkar, CTO for betalingsfintech CardUp og Ivy Young, Head of Security hos AWS Professional Services, ASEAN.

Denne afgørende diskussion, med nogle af branchens førende eksperter, der tilbyder et holistisk syn på det offentlige skylandskab i forhold til retningslinjer fastsat af MAS, dykker ned i dets implikationer og hvad de betyder for organisationer.

Udnyttelse af skyens kraft

Skyens allestedsnærværelse de seneste år er ikke gået tabt på paneldeltagerne. Fra at sikre 24/7 oppetid til at give markedsdataadgang, er cloud-infrastruktur rygraden i deres operationer.

I mellemtiden fremhævede Anand, som talte om CardUps erfaring, virksomhedens cloud-first-etos og pegede på PCI DSS-overholdelse, arkitektonisk bedste praksis og regional vækst som nøglemotivatorer for deres cloud-afhængighed.

Udfordringen ved Cloud Security

På trods af de enorme fordele, som cloud-teknologi tilbyder, er de iboende udfordringer, den udgør, især på sikkerhedsområdet, bemærkelsesværdige. En sådan udfordring er fejlkonfiguration. Anand understreger dynamikken i cloud-sikkerhed og citerer den berygtede Capital One-hændelse som en skarp påmindelse om, hvordan simple fejlkonfigurationer kan føre til betydelige brud.

Det handler dog ikke kun om fejlkonfiguration. Som påpeget i MAS-retningslinjerne, er identitets- og adgangsstyring fortsat altafgørende. Paul understregede vigtigheden af ​​at have robuste kontroller på plads, især med onboarding og offboarding praksis.

Reflektere over seneste brud af DeFi-protokollerne Harbor og Exactly i separate angreb mindede panelet om motiverne, der driver angriberne. Når der er mere at vinde, tiltrækkes angribernes opmærksomhed uvægerligt. Som sådan, selvom cloud-infrastruktur tilbyder uovertrufne fordele, har indsatsen aldrig været højere.

Den fælles ansvarsmodel

Et kerneemne for diskussion centreret omkring "delt ansvarsmodellen". Ivy Young bemærkede: "Noget grundlæggende her, når vi tænker på sikkerhed, er en delt ansvarsmodel." 

Denne model understreger ansvarsfordelingen mellem cloud-udbydere og deres kunder. Mens cloud-udbydere sikrer skyens sikkerhed, skal kunderne sikre det, de lægger i skyen, hvad enten det er data eller applikationer.

Ivy påpegede endvidere, at det er vigtigt at forstå modellen med delt ansvar. Men udfordringen opstår, når denne forståelse ikke omsættes til daglig drift og processer. Følgelig kan der opstå fejlkonfigurationer eller huller i ledelsen.

Synlighed i Cloud Infrastructure

Anand fremhævede vigtigheden af ​​synlighed i cloud-infrastruktur. "Det grundlæggende aspekt af, om du vil sikre data eller forhindre noget, er synlighedsaspektet," kommenterede han. 

At have omfattende tilsyn sikrer effektiv forebyggelse, detektion og hændelsesstyring skræddersyet til skyen. Værktøjer som AWS's Incident Manager, Azure Sentinel og andre spiller en central rolle i at tilbyde denne synlighed, og hjælper organisationer med at opdage fejlkonfigurationer tidligt og implementere robuste styringsmodeller.

Afkodning af Cloud Security Jargons

Den hurtige udvikling af cloud-teknologi introducerer ofte nye terminologier og akronymer. Paneldeltagerne tog deltagerne med på en hvirvelvindsrundvisning i disse, begyndende med CWPP (Cloud Workload Protection Platform) til CSPP (Cloud Security Posture Management) og til sidst CNAPP (Cloud Native Application Protection Platform). Det overordnede tema mellem hver af dem var at sikre sikkerhed og overholdelse i det hurtigt udviklende cloudmiljø.

"Forstå de centrale use cases," understregede panelet og tilføjede, at uanset akronymet, bør fokus altid være på at beskytte data, styre fly og sikre robust cloud-sikkerhed.

Alert Fatigue Challenge

Selvom det er vigtigt at have værktøjer på plads, påpegede Anand den virkelige udfordring: "Alerttræthed er reel." 

Sikkerhedssystemer kan oversvømme teams med advarsler, hvilket fører til tab af fokus på ægte trusler midt i et hav af falske positiver. Derfor er det afgørende ikke kun at implementere værktøjer, men også at sikre, at de er skræddersyet til at give handlingsorienteret indsigt uden overvældende sikkerhedspersonale.

Dykker ned i MAS-cirkulæret om cloudadoption

Monetary Authority of Singapores nye cirkulære om cloud-adoption for Singaporeanske organisationer var webinarets vigtigste omdrejningspunkt. Cirkulæret understreger den hurtige migration af finanssektoren i Singapore til cloud-platforme. 

Som Paul Hadjy bemærkede, understreger MAS-cirkulæret måske ikke alle akronymer, men det understreger vigtigheden af ​​at have effektive løsninger, processer og afbødningsstrategier på plads. Cirkulærets mål er på linje med at sikre, at regulerede enheder opretholder de højeste standarder for cloud-sikkerhed.

Hvordan MAS Public Cloud-retningslinjerne påvirker virksomheder

Paul understregede vigtigheden af ​​at forstå fejlkonfigurationerne inden for cloud-udvikling og fremhævede værdien i MAS public cloud retningslinjer. Han sagde: "Udviklere, der ved, hvor mange af fejlkonfigurationerne kommer fra, kan være meget indflydelsesrige og vigtige." Retningslinjerne er ifølge Paul en væsentlig læsning for alle i branchen, især dem, der er involveret i skyens tekniske aspekter.

Paneldeltagerne belyser de bredere implikationer af retningslinjerne. Han påpegede vigtigheden af, at ikke kun nuværende industriaktører, men også spirende iværksættere i fintech-sektoren, gør sig bekendt med disse retningslinjer. 

Når vi taler om fintech-industriens spirende vækst, sagde panelet: "Dynamikken i, hvor forretningen er på vej hen, er bestemt mod skyen." De mener, at investeringer bør rettes mod cloud-sikkerhedsprocedurer, der understreger betydningen af ​​cloud-baseret arbejde, uanset om det involverer informationshåndtering, arbejdsgange eller krav.

Ivy, sikkerhedschefen hos AWS Professional Services i ASEAN, talte om at forbedre ens sikkerhedsstilling. Ifølge hende skal myndighedskrav ses som kun begyndelsen. 

Virksomheder bør sigte mod at opbygge en sikkerhedskultur tidligt, da det vil gavne dem i det lange løb. Hun nævnte, at mange virksomheder nu ser sikkerhed som en salgsmulighed, et perspektiv, der bliver mere og mere udbredt i Asien.

Ivy opregnede tre indledende trin for regulerede finansielle enheder til at starte deres cloud-sikkerhedsprogram. Den ene er at afstemme forretningsmålene med skyens sikkerhedsmodenhedsniveauer.

Den anden er at udnytte de omfattende ressourcer, der tilbydes af cloud-tjenesteudbydere. Og for det tredje er det afgørende at etablere synlighed fra starten for at opdage og håndtere risici rettidigt.

Anand Nirgudkar, CTO for CardUp, tilbød et holistisk syn og sammenlignede oplevelsen af ​​skymigrering med at køre i en rutsjebane for første gang. Han gentog vigtigheden af ​​en grundig opdagelsesproces og udnyttelse af hjælpen fra cloud-tjenesteudbydere. 

Desuden understregede Anand nødvendigheden af ​​trusselsmodellering og fordelene ved at skabe "værn" frem for "porte".

Han opfordrede også fællesskabet til at udforske AWS's Cloud Adoption Framework fra 2016, som giver omfattende vejledning, der kan være gavnlig, uanset den specifikke cloud-tjenesteudbyder, man måtte bruge.

Forstå søjlerne i Cloud Security

Panelet begyndte med at identificere tre søjler, der er grundlæggende for et effektivt cloud-sikkerhedsprogram. For det første er slutpunktssikkerhed af største betydning, især i industrier, der er modtagelige for hyppige angreb, såsom kryptovalutasektoren. 

For det andet satte de fokus på forebyggelse af datatab (DLP). Efterhånden som arbejdsstyrkerne udvides og opererer eksternt, er datalækage blevet en fremtrædende bekymring. At sikre adgang til afgørende information uden at kompromittere sikkerheden gennem mekanismer som single sign-on eller to-faktor autentificering er afgørende.

Den sidste søjle drejede sig om cyberhygiejne. Efterhånden som organisationer vokser, bliver det uundværligt at skabe en kultur med god cybersikkerhedspraksis. Sikre medarbejdere, både gamle og nye, er velinformeret om potentielle trusler er afgørende.

Overgang til skyen: Hvor skal man begynde?

Da man overvejede at skifte til skyen, blev spørgsmålet 'hvor skal man begynde' behandlet af både Anand Nirgudkar og Ivy Young. Anand understregede vigtigheden af ​​at forstå og rangordne aktiver, før der træffes nogen migrationsbeslutninger. Han slog til lyd for en vurdering baseret på risikoen og de forretningsmæssige konsekvenser forbundet med den potentielle migrering af hvert aktiv. 

I overensstemmelse med lignende følelser fremhævede Ivy betydningen af ​​forretningsmål. Begyndende med at migrere mindre kritiske aktiver for at opbygge erfaring, og derefter gradvist at flytte mere kritiske arbejdsbelastninger, blev det anbefalet, hvilket fremmede selvtillid og dyrkede et praktisk læringsmiljø.

MAS Public Cloud-retningslinjer: Nøglemuligheder

Et af de mest presserende spørgsmål var relateret til de ændringer, som MAS public cloud-retningslinjer medførte. Anand gav en artikuleret opsummering af de væsentlige elementer i retningslinjerne. 

Han roste MAS for dets omfattende cirkulære, som dykker ned i aspekter lige fra introduktionen af ​​forskellige servicemodeller, delt ansvar, identitets- og adgangsstyring, arbejdsbelastningssikkerhedstilgange og nul-tillid-sikkerhedsprincipper. 

Retningslinjerne taler også for løbende test, datasikkerhed, nøglehåndtering og meget mere. En vægt på en risikobaseret sikkerhedstilgang udgør rygraden i hele cirkulæret, hvilket understreger vigtigheden af ​​en afbalanceret, pragmatisk tilgang til cloud-sikkerhed.

Cloud som forretningsimperativ

Selvom ikke alle spørgsmål kunne løses på grund af tidsbegrænsninger, tilbyder den indsigt, paneldeltagerne deler, uvurderlig læring. Det Webinar 'Hvordan de nye MAS Public Cloud-retningslinjer påvirker dig' understreget, hvordan implementeringen og sikkerheden af ​​skyen ikke blot er it-beslutninger, men er kritiske forretningsmæssige krav i nutidens digitale tidsalder. 

Mens de nye MAS-retningslinjer introducerer et ekstra lag af kompleksitet, indleder de også en æra med forbedret sikkerhed, gennemsigtighed og tillid. Når organisationer navigerer i disse retningslinjer, anbefales en omfattende, strategisk og proaktiv tilgang til cloud-adoption og -sikkerhed ikke kun, men afgørende.

Se on-demand webinaret på dette link at få indsigt.

Horangi vil deltage i den kommende Singapore Fintech Festival, som finder sted fra 15. til 17. november. Lær mere om deres standdeltagelse link..

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/